1 Webinar Sest LGPD - Rodrigo Duran

Prévia do material em texto

LGPD
Lei Geral de Proteção 
de Dados Pessoais
Webinar Sest
Então 
Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018)
A LGPD se aplica às empresas estatais?
A LGPD já está em vigor?
Essa lei é uma “invenção” brasileira?
A LGPD se aplica às empresas estatais?
LGPD
União, estados, Distrito 
Federal e municípios
Administração direta dos Poderes 
Executivo, Legislativo, Judiciário, Ministério 
Público e Tribunal de Contas
Autarquias, fundações públicas e demais 
entidades controladas direta ou 
indiretamente
Empresas públicas e sociedades de 
economia mista
Entidades privadas e pessoas físicas
Quando atuarem em regime de concorrência (CF/88 Art. 173):
• Mesmo tratamento dispensado às pessoas jurídicas de direito privado 
particulares.
Quando estiverem operacionalizando políticas públicas:
• Mesmo tratamento dispensado aos órgãos e às entidades do setor 
público.
Relevante para aplicação de sanções e determinações por parte da 
ANPD - Autoridade Nacional de Proteção de Dados;
e para aplicação das regras destinadas ao Poder Público. 
A LGPD se aplica às empresas estatais?
A LGPD já está em vigor?
Publicação
Artigos sobre ANPD
entraram em vigor
Toda a lei entrou em vigor,
exceto artigos sobre sanções
Toda a lei entraria em vigor
14/08/2018 28/12/2018 17/09/2020 * Mai/2021
Artigos sobre sanções
entrarão em vigor
01/08/2021
ANPD: Autoridade Nacional de Proteção de Dados
*https://www12.senado.leg.br/noticias/materias/2020/09/18/lei-geral-de-protecao-de-dados-entra-em-vigor
Ago/2020Fev/2020
A LGPD é uma “invenção” brasileira?
A LGPD foi fortemente influenciada pelo Regulamento 2016/679 
da União Europeia:
GDPR – General Data Protection Regulation ou em português, 
RGPD – Regulamento Geral de Proteção de Dados.
Lei 12.965/2014 – Marco Civil da Internet
Art. 3º A disciplina do uso da internet no Brasil tem os seguintes princípios:
III - proteção dos dados pessoais, na forma da lei;
Marcos normativos sobre de dados – no Brasil
Le
i C
om
ple
m
en
ta
r 1
01
/2
00
0:
Le
i d
e R
es
po
ns
ab
ilid
ad
e F
isc
al 
(LR
F)
Po
rta
l d
a T
ra
ns
pa
rê
nc
ia
do
 Po
de
r E
xe
cu
tiv
o F
ed
er
al
Le
i C
om
ple
m
en
ta
r 1
31
/2
00
9:
Le
i d
a T
ra
ns
pa
rê
nc
ia
Le
i 1
2.5
27
/2
01
1:
Le
i d
e A
ce
sso
 à 
Inf
or
m
aç
ão
 (L
AI
)
De
cre
to
s 7
.72
4 e
 7.
84
5/
20
12
:
Re
gu
lam
en
ta
m
 a 
LA
I
Le
i 1
2.9
65
/2
01
4:
M
ar
co
 Ci
vil
 da
 In
te
rn
et
De
cre
to
 8.
77
7/
20
16
:
Po
líti
ca
 de
 D
ad
os
 A
be
rto
s
Le
i 1
3.7
09
/2
01
8:
Le
i G
er
al 
de
 Pr
ot
eç
ão
 de
 D
ad
os
 
Pe
ss
oa
is 
(LG
PD
)
2000 2005 2009 2011 2012 2014 2016 2018
Então 
Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018)
Por que devemos proteger dados pessoais?
A LGPD protege qualquer dado pessoal?
Por que devemos proteger dados pessoais?
Respeito à 
privacidade da 
pessoa
Inviolabilidade da 
intimidade, da 
honra e da 
imagem da 
pessoa
Defesa do 
Consumidor
Direitos humanos, 
da personalidade, 
da dignidade e do 
exercício da 
cidadania.
A identidade e a privacidade
do indivíduo são os seus 
maiores patrimônios.
Digital Around the World
Digital Around the World
A LGPD protege qualquer dado pessoal?
A LGPD dispõe sobre o tratamento de dados pessoais,
nos meios físicos ou digitais, por pessoa natural ou
por pessoa jurídica de direito público ou privado.
A LGPD protege qualquer dado pessoal?
Protege qualquer dado pessoal, desde que:
O tratamento 
dos dados seja 
realizado no 
Brasil.
Os dados 
tratados 
tenham sido 
coletados no 
Brasil.
Para oferta de 
bens ou 
serviços a 
pessoas 
localizadas no 
Brasil.
Fins 
particulares e 
não 
econômicos.
Fins 
jornalísticos, 
artísticos ou 
acadêmicos.
Defesa 
nacional, 
segurança 
pública, 
investigação.
Não protege dados pessoais coletados para:
Então 
Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018)
O que significa tratamento de dados?
O que é considerado dado pessoal?
Poderia dar algum exemplo?
O que significa tratamento de dados?
O que é considerado dado pessoal?
Definições Titular do dado: pessoa natural a quem se referem os dados pessoais que são 
objeto de tratamento.
à Pessoa física.
Dado pessoal: informação relacionada a uma pessoa natural identificada ou 
identificável.
à Qualquer dado isolado ou combinado que possa identificar uma pessoa.
Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção 
religiosa, opinião política, filiação a sindicato ou a organização de caráter 
religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado 
genético ou biométrico.
CGAVM • Físico-
Financeiro
CGGOV
• Perfil das 
Estatais
• Novo Perfil 
das Estatais
CGINF • Habilita
CGORC • Novo PDG
CGPPE • PPE
Dados pessoais dos integrantes 
das entidades de gestão 
Dados pessoais do contador e do 
validador
Dados pessoais do responsável 
pela área de orçamento
Dados pessoais dos empregados 
das empresas estatais
Dados dos usuários do SIEST
Poderia dar algum exemplo?
Então 
Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018)
Quais são os direitos do titular dos dados?
Quando é permitido tratar dados pessoais?
Quando é permitido tratar dados pessoais?
Mediante o consentimento do titular.
Para o cumprimento de obrigação legal ou regulatória.
Para a execução de políticas públicas previstas em leis e regulamentos, ou respaldadas 
em contratos, convênios ou instrumentos congêneres.
Para atender aos interesses legítimos do controlador, exceto quando prevalecerem 
direitos e liberdades fundamentais do titular.
Para a realização de estudos por órgão de pesquisa, garantida a anonimização dos dados 
pessoais.
Para o exercício regular de direitos em processo judicial, administrativo ou arbitral.
Para a proteção da vida ou da incolumidade física do titular ou de terceiro.
Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais 
de saúde, serviços de saúde ou autoridade sanitária.
Quando necessário para a execução de contrato do qual seja parte o titular, a pedido do 
titular dos dados.
Para a proteção do crédito, conforme legislação pertinente.
Quando é permitido tratar dados pessoais?
Quais são os direitos do titular dos dados? 
Confirmação de tratamento
Direitos do 
Titular dos 
Dados
Acesso aos dados
Correção dos dados
Anonimização,
bloqueio ou eliminação
de dados desnecessários
Portabilidade dos dados
Eliminação dos dados
Revogação do consentimento
Informação de 
compartilhamento dos 
dados
Informação de 
possibilidade de não 
consentimento e das 
consequências
Então 
Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018)
O que temos que fazer?
Quais são as sanções administrativas?
O que temos que fazer?
São necessárias várias providências e
algumas são imediatas. 
O caminho é longo e exige planejamento. 
Mas existem orientações disponíveis. 
O que temos que fazer?
Criar um programa institucional:
Programa de Governança em Privacidade (PGP):
A LGPD possui requisitos complexos e restritivos a serem
cumpridos e tem impacto em toda a organização.
É necessário atuar de forma permanente em todos os 
processos para garantir uma efetiva governança de 
privacidade no manuseio de dados pessoais.
Guia para criação de um Programa Institucional de Gerenciamento de Privacidade:
https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiaProgramaGovernanaemPrivacidade.pdf
O que temos que fazer?
Nomear os Agentes de Tratamento:
Controlador:
Pessoa natural ou jurídica, de direito público ou privado, 
a quem competem as decisões referentes ao tratamento 
de dado pessoais.
Operador:
Pessoa natural ou jurídica, de direito público ou privado, 
que realiza o tratamento de dados pessoais em nome 
do controlador.
Guia para criação de um Programa Institucional de Gerenciamento de Privacidade:
https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiaProgramaGovernanaemPrivacidade.pdfO que temos que fazer?
Nomear o Encarregado:
Encarregado:
Pessoa indicada pelo controlador e operador para atuar 
como canal de comunicação entre o controlador, os 
titulares dos dados e a Autoridade Nacional de Proteção 
de Dados (ANPD).
Instrução Normativa SGD/ME Nº 117/2020 - Indicação do Encarregado pelo Tratamento dos Dados Pessoais:
https://www.in.gov.br/web/dou/-/instrucao-normativa-sgd/me-n-117-de-19-de-novembro-de-2020-289515596
Guia para criação de um Programa Institucional de Gerenciamento de Privacidade:
https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiaProgramaGovernanaemPrivacidade.pdf
O que temos que fazer?
Elaborar o Inventário de Dados Pessoais:
Inventário de Dados Pessoais (IDP):
Indica a existência de dados pessoais e documenta as 
operações de tratamento realizadas pela entidade.
Guia de Elaboração de Inventário de Dados Pessoais:
https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiaInventario.pdf
O que temos que fazer?
Guia de Elaboração do Relatório de Impacto à Proteção de Dados Pessoais:
https://www.gov.br/governodigital/pt-br/governanca-de-dados/guia-template-ripd_v3.docx
Elaborar o Relatório de Impacto:
Relatório de Impacto à Proteção de Dados 
Pessoais (RIPD):
Descreve os processos de tratamento de dados pessoais 
que podem gerar riscos às liberdades civis e aos direitos 
fundamentais, bem como medidas, salvaguardas e 
mecanismos de mitigação de risco.
O que temos que fazer?
Elaborar a Política de Privacidade:
Política de Privacidade:
Tem como objetivo descrever ao usuário o método, os 
processos e os procedimentos adotados no tratamento 
de dados pessoais e informá-lo sobre as medidas de 
privacidade empregadas.
Guia de Elaboração de Política de Privacidade:
https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiaTermoUso.pdf
O que temos que fazer?
Elaborar os Termos de Uso:
Termos de Uso:
São vinculados à utilização dos serviços disponibilizados 
pela entidade por meio de aplicações (sítios, sistemas 
ou aplicativos para dispositivos móveis).
Guia de Elaboração de Termos de Uso:
https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiaTermoUso.pdf
O que temos que fazer?
Adequar os contratos:
Requisitos de proteção de dados pessoais:
É de extrema relevância a adoção de requisitos de 
segurança da informação e proteção de dados pessoais 
bem como a respectiva gestão contratual com 
abordagem específica desse aspecto, quando da 
contratação de produtos e/ou serviços de TIC.
Guia de Boas Práticas para Especificação de Requisitos de Segurança da Informação em Contratações de TI:
https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiadeAdequacoesdeContratos.pdf
O que temos que fazer?
Elaborar e implementar o Plano de 
Resposta a Incidentes:
Plano de Resposta a Incidentes:
Descreve as respostas aos incidentes de segurança e de 
privacidade de dados, com o intuito de conter ou 
minimizar prejuízos, e indica como ocorrem as devidas 
comunicações ao titular dos dados e à ANPD.
Guia de Elaboração do Plano de Respostas a Incidentes (em breve):
https://www.gov.br/governodigital/pt-br/governanca-de-dados/guias-operacionais-para-adequacao-a-lgpd
O que temos que fazer?
E muito mais...
Por isso sugerimos que consultem o que foi elaborado 
pela Secretaria de Governo Digital (SGD) do Ministério 
da Economia para nos apoiar nessa caminhada:
Guia de Boas Práticas - Lei Geral de Proteção de Dados 
(LGPD):
https://www.gov.br/governodigital/pt-br/governanca-de-dados/guia-de-
boas-praticas-lei-geral-de-protecao-de-dados-lgpd
Guias Operacionais para adequação à LGPD:
https://www.gov.br/governodigital/pt-br/governanca-de-dados/guias-
operacionais-para-adequacao-a-lgpd
Advertência, com indicação de prazo para medidas 
corretivas.
Multa simples ou multa diária.
Publicização da infração após apurada e confirmada a 
ocorrência.
Bloqueio ou eliminação dos dados pessoais.
Suspensão do banco de dados ou da atividade de 
tratamento.
Proibição parcial ou total da atividade de tratamento.
Quais são as sanções administrativas?
Então 
Dúvidas e sugestões
Tenho mais alguma dúvida?
O webinário foi útil para mim?
Tenho alguma sugestão?
sest.cginf@economia.gov.br
LGPD
Obrigado!
Webinar Sest